PyPI bersagli di un attacco malware: registrazioni sospese per ripulire la piattaforma

Python Package Index (PyPI), il repository centrale per i pacchetti software Python, ha dovuto sospendere temporaneamente la registrazione di nuovi utenti e la creazione di nuovi progetti con l'obiettivo di contrastare una massiccia campagna malware in atto che stava prendendo di mira la piattaforma.

PyPI, ospitando migliaia di pacchetti Python, rappresenta un bersaglio particolarmente appetibile e appetitoso per i criminali informatici: la pratica più comune adottata dagli hacker è quella di caricare pacchetti falsi o con nomi simili a quelli legittimi allo scopo di diffondere codice compromesso e assicurarsi così la possibilità di avere a disposizione vulnerabilità da sfruttare in attacchi successivi.

Negli ultimi giorni si è verificata un'impennata di questo genere di attività che, come detto, ha costretto, gli amministratori di PyPI a sospendere nel corso della giornata di ieri le nuove registrazioni degli utenti per permettere di mitigare le attività malevole in corso.

Checkmarx, una società che si occupa di sicurezza informatica, ha rilasciato un rapporto secondo il quale gli attori di minaccia hanno iniziato a caricare su PyPI, a partire dal 27 marzo, 365 pacchetti dai nomi molto simili a quelli di progetti legittimi. In questi pacchetti è presente codice dannoso nel file "setup.py", che è quello che viene eseguito nella fase di installazione, che tenta di recuperare ulteriore codice dannoso connettendosi ad un server remoto.

Gli aggressori hanno inoltre architettato un sistema per eludere il rilevamento, crittografando il codice dannoso con il modulo Fernet e facendo sì che l'indirizzo del server remoto venisse costruito in maniera dinamica solo al momento dell'utilizzo. Il codice recuperato dal server si assembla poi in un sofisticato infostealer dotato di capacità di persistenza e che prende di mira informazioni archiviate nei browser web, come password di accesso, cookie di sessioni ed estensioni per criptovalute.

Nel rapporto compilato da Checkmarx si trova l'elenco completo dei pacchetti dannosi, che sono oltre 500 e distribuiti in due momenti distinti. Ciascuno di essi, contenente il medesimo codice, è stato caricato da account unici con nomi ed e-mail distinti, fattore che indica l'uso di strumenti di automazione nell'organizzazione della campagna.

PyPI ha già adottato lo scorso anno, nel mese di maggio, misure drastiche identiche a quelle intraprese in questi giorni per salvaguardare il pubblico da attività dannose. Entrambi gli episodi sottolineano quanto sia fondamentale per gli sviluppatori verificare scrupolosamente l'autenticità e l'affidabilità dei componenti open source che utilizzano nei loro progetti.